应急响应入门篇-windows分析排查技术（上）

 

一、应急响应：

概念：

一般情况下，各种木马，病毒等恶意程序，都会在计算机开机启动过程中启动。

当企业发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，急需第一时间进行处理，使企业的网络信息系统在最短时间内恢复正常工作，进一步查找入侵来源，还原入侵事故过程，同时给出解决方案与防范措施，为企业挽回或减少经济损失。

常见的应急响应事件分类：

web入侵：网页挂马、主页篡改、Webshell
系统入侵：病毒木马、勒索软件、远控后门
网络攻击：DDOS攻击、DNS劫持、ARP欺骗

分析排查是指对windows系统中的文件、进程、系统信息、日志记录等进行检测，挖掘windows系统中是否具有异常情况。目的在于：保护windows系统安全。

 

二、windows应急响应实际分析

在windows系统中可以通过以下三种方式查看开机启动项

1.分析开机启动项

方法1.利用操作系统中的启动菜单

1.先进入组织，然后打开文件夹选项，把隐藏文件显示。

2.然后输入路径：C:\Users\x\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup，访问就看到了开机启动项里的文件

法2,利用系统配置msconfig

1.使用win+r ,输入msfconfig

2.然后对正在运行的文件进行分析。如vmvaretools

法3.利用注册表regedit

使用win+r，输入regedit，一步一步找到开机启动项的位置

然后进行下一步分析

02文件分析-temp临时异常文件

temp（临时文件夹），位于C:\Documents and settings\Administrator

法1：直接访问根目录

法2：输入%temp%，然后运行，即可调用出来。

3.对temp目录下的pe文件进行查看，查看那些比较大一点的文件（exe、dll、sys）

4.将文件上传到virustotal进行查看，是否为恶意代码

https://www.virustotal.com/

03文件分析—浏览器信息分析

在被黑客拿下的服务器，很有可能会使用浏览器进行网站的访问，因此我们可以查看浏览器记录，探索浏览器是否被使用和下载恶意代码。

1.先打开ie浏览器，然后在浏览器打开历史记录

2.然后按照日期进行筛选，查看可疑程序时间。

3.由于在不同浏览器，查看浏览记录的方式不一样。所以推荐一个工具browserhistory。

下载之后打开软件，进行配置

然后进行浏览器历史记录查看。

查看浏览器cookie信息，推荐iecookies view

进行筛选，查找。

保存文件

然后对其进行分析

推荐一个下载工具的地方：

http://launcher.nirsoft.net/downloads/index.html

04 文件时间属性分析

在windows系统下，文件属性的时间属性有：创建时间、修改时间、访问时间（默认情况下禁用）

如果遇到了一个修改时间早于创建时间，比较异常的那种修改时间。这种文件就特别可疑/。

没找到可疑文件，记得认真看一下修改时间。

可以使用中国菜刀连接，然后修改文件的修改时间

5最近打开文件分析

windows系统默认记录系统中最近打开使用的文件信息

可以在目录 C:\Users\x\Recent下查看，也可以使用win+r 输入 %UserProfile%\Recent 查看

1.然后打开最近的文件

可以直接打开文件进行分析。

如果文件太多，还可以使用日期进行筛选

最后还可以使用cmd命令 find / ？ 加各种参数然后对最近打开的文件进行筛选。

总结：

本文针对常见的攻击事件，总结了一些如何对Window服务器入侵，一步步操作对入侵进行分析。主要针对开机启动项、temp临时异常文件、浏览器信息、文件属性、最近打开文件进行分析。